დღევანდელ ციფრულ სამყაროში თანამედროვე ინოვაციური ტექნოლოგიები საზოგადოების განვითარების  აუცილებელ კომპონენტს წარმოადგენს. მათი მეშვეობით კომპანიებს შესაძლებლობა აქვთ, ბაზარზე  კონკურენტუნარიანი იყვნენ და მნიშვნელოვან ეკონომიკურ ზრდას მიაღწიონ.

2015 წლის მაისში ევროკომისიამ წარმოადგინა რევოლუციური სტრატეგია ევროკავშირის ერთიანი ციფრული ბაზრის შექმნის შესახებ (Digital Single Market), რომელიც ორ მთავარ ასპექტს ეფუძნება:

1. მომხმარებლებისა და ბიზნესისთვის უფრო მეტი წვდომა ციფრულ პროდუქტებსა და მომსახურებებზე.
2. შესაბამისი გარემოს შექმნა ინოვაციური სერვისებისთვის, რაც გულისხმობს საკანონმდებლო ცვლილებებს,  როგორც ტექნოლოგიური განვითარების ხელშეწყობის მიზნით, ასევე, აღნიშნული განვითარების შედეგად წარმოქმნილი რისკების შესამცირებლად. სწორედ ამ მიზანს ემსახურება მონაცემთა დაცვის ზოგადი ევროპული რეგულაციის (GDPR) მიღებაც.

როგორც ვხედავთ, ერთი მხრივ ჩნდება განუზომლად დიდი სურვილი და მოთხოვნა სწრაფად მზარდ ინოვაციურ ტექნოლოგიებზე, რომლებიც ბიზნესს ახალ შესაძლებლობებს აძლევს,  მეორე მხრივ - აქტუალურია ადამიანის ფუნდამენტური უფლებების, პერსონალური მონაცემების დაცვა და კონფიდენციალობა. ამ ორ ინტერესს შორის ბალანსის დაცვა წარმოუდგენელ სიზუსტესა და დიდ ძალისხმევას მოითხოვს.

როგორც ხშირად აღნიშნავენ, პერსონალური მონაცემები ბიზნესისთვის წარმოადგენს ახალი თაობის ,,ოქროს“, ხოლო ტექნოლოგები (როგორიც არის მაგალითად, ხელოვნური ინტელექტი, ბლოკჩეინი, ე.წ. Virtual reality (VR), ვერიფიკაციის ბიომეტრიული ტექნოლოგიები - სახის, თითის ანაბეჭდის, ასევე, თვალის ბადურის ამომცნობი და ა.შ.) კიდევ უფრო უადვილებს კომპანიებს სხვადასხვა მიზნისთვის პერსონალური მონაცემების დამუშავებას. ბოლო პერიოდში მსოფლიოში მომხდარმა პერსონალური მონაცემების მასობრივი დარღვევის ფაქტებმა ამ საკითხების (მონაცემთა და კონფიდენციალობის დაცვის) მიმართ მნიშვნელოვნად გაზარდა მოქალაქეთა ინტერესი.

ევროკავშირთან ერთად, საქართველოც ცდილობს ხელი შეუწყოს ქვეყანაში ინოვაციებისა და ტექნოლოგიების განვითარებას. შესაბამისად, საქართველოშიც აქტუალურია ზემოაღნიშნულ ორ ინტერესს შორის ბალანსის დაცვა. საგულისხმოა, რომ  GDPR-ის მოქმედების არეალი არ მოიცავს მხოლოდ ევროკავშირის წევრ ქვეყნებს. თუ ქართული კომპანიები მომსახურებას ან საქონელს აწვდიან ევროკავშირის ბაზარს, ასეთ შემთხვევაში, მათ აქვთ ვალდებულება, თავიანთი საქმიანობა შეუსაბამონ​ GDPR-ით დადგენილ მოთხოვნებს. აქედან გამომდინარე, ამ საკითხის გაანალიზება ქართული კომპანიებისთვისაც საინტერესოა.

ბიზნესისთვის ერთ-ერთი ყველაზე მნიშვნელოვანი სიახლე  და ვალდებულება,  რაც  GDPR-მა გაითვალისწინა, ახალი პროდუქტის ან მომსახურების შექმნის პროცესში მონაცემთა დაცვის სტანდარტების (Privacy by Design და Privacy by Default) გათვალისწინებაა. აღნიშნული ვალდებულების დარღვევამ შესაძლოა, მნიშვნელოვანი ფინანსური სანქცია გამოიწვიოს.

,,Privacy by Design“ გულისხმობს კომპანიების ვალდებულებას მიიღონ სათანადო  ტექნიკური და ორგანიზაციული ზომები მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დასაცავად უახლესი ტექნოლოგიების დანერგვის, მონაცემთა დამუშავების ხასიათის, მასშტაბის, კონტექსტისა და მიზნების განსაზღვრისას. მაგალითად, როდესაც კომპანია ქმნის ახალ პროდუქტს ან სერვისს,  იგი ვალდებულია პროდუქტის ან სერვისის შექმნის საწყის ეტაპზევე უზრუნველყოს სათანადო ტექნიკური და ორგანიზაციული ზომების მიღება, პერსონალური მონაცემების დასაცავად.

,,Privacy by Default“ გულისხმობს კომპანიების ვალდებულებას მიიღონ სათანადო  ტექნიკური და ორგანიზაციული ზომები, რაც უზრუნველყოფს ავტომატურად მხოლოდ კონკრეტული მიზნისთვის აუცილებელი მონაცემების დამუშავებას. მაგალითად, როდესაც კომპანია ქმნის ახალ სერვისს, რომელიც მომხმარებლებს შესაძლებლობას აძლევს, თავად განსაზღვროს, რა სახის პერსონალური მონაცემები გახდეს ხელმისაწვდომი, საწყის პარამეტრად - ე.წ. ,,Default“-ად არჩეულ უნდა იქნას ყველაზე მკაცრი ფორმა, ხოლო შემდეგ თავად მონაცემთა სუბიექტმა უნდა განსაზღვროს, თუ რა დოზით გახადოს თავისი მონაცემები ხელმისაწვდომი.

 ფუნქციონირება კანონის ჩარჩოებში

GDPR-ის თანახმად, კომპანიები ვალდებული არიან საქმიანობა შეუსაბამონ რეგულაციით დადგენილ წესებს. მათ წინასწარ უნდა შეაფასონ ახალი სერვისი და ტექნოლოგია რამდენად შესაბამისობაშია საკანონმდებლო მოთხოვნებთან. აღნიშნულის მისაღწევად საუკეთესო პრაქტიკაა კონფიდენციალობის გავლენის შეფასება (Privacy impact assessment - ე.წ. PIA). PIA ეხმარება კომპანიებს, პროდუქტის შექმნის პროცესშივე გაანალიზოს კონფიდენციალობის რისკები. აღნიშნული თავის მხრივ უზრუნველყოფს ახალი სერვისის და ტექნოლოგიის რეგულაციასთან მის შესაბამისობას

 ეთიკურობა

წინასწარ უნდა იქნეს გათვალისწინებული ეთიკური ასპექტებიც. კომპანიებმა უნდა განსაზღვრონ, მონაცემთა დამუშავების პროცესში რამდენად გამჭვირვალეები უნდათ რომ იყვნენ  და რა დოზით სურთ, მონაცემთა სუბიექტები იყვნენ ჩართულნი დამუშავების პროცესში.

 კომუნიკაცია მონაცემთა სუბიექტებთან

ძალზედ მნიშვნელოვანია მონაცემთა სუბიექტებთან სწორი კომუნიკაცია როგორც სერვისის ან ტექნოლოგიის შექმნის საწყის ეტაპზე, ასევე მისი ბაზარზე გაშვებისას. ამასთან, საკომუნიკაციო მესიჯები უნდა იყოს გასაგები და მონაცემთა სუბიექტებს უნდა ჰქონდეთ ინფორმაცია, როგორ უნდა მოიქცნენ იმ შემთხვევაში, თუ სურთ, უფრო მეტი გაიგონ საკუთარი პერსონალური მონაცემების დამუშავების  შესახებ.

ერთი შეხედვით, შეიძლება ჩანდეს, რომ რეგულაცია ბიზნესს დამატებით მოთხოვნებს უწესებს, თუმცა, აქვე უნდა აღინიშნოს, რომ პერსონალური მონაცემების დაცვასთან დაკავშირებული რეგულაციები განსხვავდება სხვა კლასიკური რეგულაციებისგან, რადგან დადგენილი მოთხოვნების გათვალისწინების შემთხვევაში შესაძლებელია მნიშვნელოვანი სარგებლის მიღება.

შესაბამისად, თუ ბიზნესი გააცნობიერებს, რომ ინოვაციები და პერსონალური მონაცემები თავსებადია და ბიზნესი არ შეიძლება იყოს ეფექტიანი და მასშტაბური მონაცემთა დაცვის ადეკვატური ზომების გარეშე, ამასთან, თუ პროდუქტის/სერვისის შექმნის საწყის ეტაპზევე იფიქრებს პერსონალური მონაცემების კანონიერად დამუშავების საკითხებზე, სარგებელი აისახება ფინანსურ მაჩვენებლებში. ფინანსური სარგებელი პირდაპირ კავშირშია  მომხმარებელთა ნდობასთან და ბრენდის რეპუტაციასთან.

დღევანდელ რეალობაში მომხმარებელთა ნდობა, როგორც ფენომენი, ერთგვარად ახალი ვალუტაა ბიზნესისთვის. შესაბამისად,  მომხმარებლის ნდობის მოიპოვება და მისი შენარჩუნება ბიზნესის განვითარებისთვის ყველაზე მნიშვნელოვან ფაქტორს წარმოადგენს.

                                             ბექა ქენქაძე

სახელმწიფო ინსპექტორის სამსახურის საჯარო და კერძო სექტორზე ზედამხედველობის დეპარტამენტის აუდიტორი